adrianna michalowicz

Adrianna Michałowicz
Aplikantka, doktorantka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego

101 skarg fundacji NOYB na podmioty transferujące dane do USA

Dodano: wrzesień 24, 2020 Kategoria: Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Adrianna Michałowicz

W połowie lipca br. Trybunał Sprawiedliwości w wyroku w sprawie C-311/18 Facebook Ireland i Schrems stwierdził nieważność decyzji Komisji Europejskiej 2016/1250 ustanawiającej Tarczę Prywatności – program, w oparciu o który mógł być realizowany transfer danych osobowych obywateli UE do podmiotów mających siedzibę w Stanach Zjednoczonych[1]. Konsekwencje wyroku widoczne są zarówno na płaszczyźnie prawnej, jak i biznesowej. Jednak jak dotąd ani w jednej, ani drugiej sferze, nie zaszło wiele zmian. Z tej przyczyny sprawą transferów danych osobowych do USA zajęli się prawnicy z fundacji None of your business (NOYB), działającej z inicjatywy Maxa Schremsa.

 

Miesiąc po publikacji przez TS wyroku w sprawie C-311/18 Facebook Ireland i Schrems fundacja NOYB poinformowała o złożeniu do krajowych organów nadzorczych 101 skarg na podmioty, które korzystają z usług Google Analytics lub Facebook Connect[2]. Powodów jest kilka: zarówno Google, jak i Facebook nie zaprzestały transferowania danych osobowych, podlegają amerykańskim przepisom umożliwiającym organom publicznym dostęp do transferowanych danych osobowych, a nadto nie zaktualizowały swoich polityk prywatności w odniesieniu do podstaw prawnych transferowania danych z UE do USA. Google Analytics dopiero niedawno zamieścił wzmiankę o unieważnieniu decyzji w sprawie Tarczy Prywatności, podając jednocześnie, że transfer danych będzie kontynuowany w oparciu o standardowe klauzule umowne[3]. Podobną decyzję podjął Facebook[4]. Mimo to nie wydaje się, aby wskazanie innej podstawy prawnej przekazywania danych osobowych do USA w polityce prywatności było dobrym rozwiązaniem, zmierzającym do zapewnienia adekwatnego poziomu ochrony danych osobowych. Jak wskazał TS w ww. wyroku, przyczyną unieważnienia decyzji KE 2016/1250 są przede wszystkim ograniczenia w zakresie ochrony danych osobowych obowiązujące w USA, wynikające z amerykańskiego prawodawstwa, na które podmioty dokonujące transferu danych nie mają wpływu. Wprowadzenie dodatkowych postanowień czy mechanizmów zapewniających właściwy poziom ochrony danych osobowych nie wyłączy prawnych obowiązków nałożonych na odbiorców danych, zlokalizowanych w USA. W praktyce więc powoływanie się na standardowe klauzule umowne może prowadzić do sytuacji, w której podmiot transferujący dane będzie „zmuszony” do niedotrzymania postanowień w nich zawartych.

 

Z powyższych względów fundacja NOYB zdecydowała się złożyć skargi do krajowych organów nadzorczych. Pięć z wniesionych skarg dotyczy podmiotów prowadzących działalność gospodarczą w Polsce, tj. TVN S.A., Telewizji Polskiej S.A., Grupy Interia.pl, Powszechnej Kasy Oszczędności Banku Polskiego S.A., Onet-RAS Polska Group[5]. Każda skarga jest wniesiona także przeciwko podmiotowi świadczącemu usługi, w ramach których realizowany jest transfer danych, tj. odpowiednio przeciwko Google LLC albo Facebook Ireland Ltd i Facebook Inc. Przygotowane skargi merytorycznie są tożsame – ich autorzy wskazują, że z powodu korzystania z usług Google Analytics lub Facebook Connect dane osobowe skarżącej/skarżącego są przekazywane do USA niezgodnie z prawem, a nadto, że administrator nie jest w stanie zapewnić odpowiedniej ochrony transferowanych danych osobowych. W związku z tym skarżący żądają ustalenia m.in., jakie dane osobowe zostały przekazane przez administratora do USA, innego państwa trzeciego lub organizacji międzynarodowej, na jakiej podstawie wynikającej z RODO transfer danych został oparty, jak również niezwłocznego wprowadzenia zakazu lub zawieszenia wszelkich przepływów danych pomiędzy określonym administratorem a spółką Google lub Facebook oraz o nakazanie zwrotu takich danych do UE/EOG lub innego państwa, które zapewnia odpowiednią ochronę – na mocy art. 58 ust. 2 lit. d), f) i j) RODO. Dodatkowo skargi zawierają wnioski o nałożenie skutecznej, proporcjonalnej i odstraszającej administracyjnej kary pieniężnej.

 

Skargi zostały co prawda wniesione do każdego krajowego organu nadzorczego, jednak na posiedzeniu plenarnym w dniu 4 września 2020 r. Europejska Rada Ochrony Danych zdecydowała o powołaniu specjalnej grupy roboczej, której zadaniem będzie przeanalizowanie skarg i zapewnienie ścisłej współpracy w trakcie ich rozpoznawania[6]. Jednocześnie Rada oświadczyła, że grupa robocza opracuje także rekomendacje dla administratorów i procesorów transferujących dane osobowe do podmiotów w USA, zawierające wskazówki w zakresie implementacji dodatkowych środków bezpieczeństwa mających na celu zagwarantowanie adekwatnego poziomu ochrony przekazywanych danych osobowych.

 

[1] Wyrok z dnia 16 lipca 2020 r., ECLI:EU:C:2020:559.

[2] Zob. https://noyb.eu/en/101-complaints-eu-us-transfers-filed (dostęp: 14.09.2020 r.).

[3] Zob. https://support.google.com/analytics/answer/6004245?hl=en&ref_topic=2919631 (dostęp: 14.09.2020 r.).

[4] Zob. https://www.facebook.com/help/566994660333381?ref=dp (dostęp: 14.09.2020 r.).

[5] Lista wszystkich podmiotów, których dotyczą skargi dostępna jest na stronie: https://noyb.eu/en/eu-us-transfers-complaint-overview (dostęp: 14.09.2020 r.).

[6] Zob. https://edpb.europa.eu/news/news_en (dostęp: 14.09.2020 r.).

Post Views: 5 170

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

adrianna michalowicz

Adrianna Michałowicz
Aplikantka, doktorantka na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.